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Introduction à la sécurité informatique 
Laboratoire 6 - Malware 


IMPORTANT: Créez un nouveau document Word et enregistrez-le comme VotreNom_Lab6.docx. Il y 


aura trois captures d’écran que vous devez coller dans ce document. 


Paramètres 


Système 
Affichage, son, notifications 
alimentation 


Personnalisation 
Arrière-plan, écran de 


verrouillage, couleurs 


Options d'ergonomie 
Narrateur, Loupe, contraste 


élevé 


Mise à jour et sécurité 
Windows Update, récupération 


sauvegarde 


Périphériques [] Téléphone 


tooth, imprimantes, souris Lier votre téléphone Androic 


Applis Q Comptes 
C Vos comptes, courriel 


Désinstaller, valeurs par défaut, 


Paramètres de Windows 


Ciroservn première | 


Réseau & Internet 


Phone 


Heure et langue 


neure, region 


fonctions facultatives synchroniser, travail, famille 


nercher mes fichiers, Langue de Cortana Emplacement, caméra 


chercher O Cortana Confidentialité 
ct he ] 
OrIsatiO Sa 


ons autor tions, notifications miIcropnone 





2. Sélectionnez Sécurité Windows puis cliquez sur Protection contre les virus et les menaces 


| os Paramètres 


{à Accueil 





Trouver un paramètre 








Mise à jour et sécurité 


«<> _ Windows Update 


Fa Optimisation de la distribution 


du ERA 
w Sécurité Windows 


T Sauvegarde 


Sécurité Windows 


Sécurité Windows est l'endroit idéal pour afficher et gérer la sécurité et 
l'intégrité de votre appareil. 


Ouvrir Sécurité Windows 


Zones de protection 


Protection contre les virus et les menaces 


Aucune action requise. 


Protection du compte 


Aucune action requise. 
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3. Dans la fenêtre Sécurité Windows, sélectionnez Options de l'antivirus Windows defender 


Avast Antivirus 
Avast Antivirus est activé. 


Menaces actuelles 


@ Aucune action requise. 


Paramètres de protection 


@ Aucune action requise. 


Mises à jour de la protection 
@ Aucune action requise. 


Ouvrir l'appli 


Options de l'antivirus Windows Defender 


Vous pouvez continuer à utiliser votre fournisseur actuel, tout en 


permettant à l'antivirus Windows Defender de faire une analyse périodique 
pour trouver def menaces. 


Analyse périodique 





4. Vous trouverez\que Windows defender est déjà désactivé par défaut, car c’est Avast Antivirus qui 
protège l'ordinateur maintenant. 


5, Cliquez sur Ouvrir l’appli, pour ouvrir Avast Antivirus. 


6. Sélectionnez Protection puis Agents principaux. 


Œ Avast Antivirus Gratuit 


À U 


Recherches de virus Agents principaux Zone de quarantaine 


Lyon 


Protection 


Gi 
Confidentialité ® 


Wi-Fi Inspector Agent contre l'accès distant ST: |p[e 1010) 
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7. Cliquez sur chaque bouton pour la désactiver. Choisissez Arrêter indéfiniment puis cliquez sur 
« OK, Arrêter », pour confirmer. 


Ca Me 


Agent des Fichiers Agent Actions Suspectes Agent Web Agent Mail 


Analyse tous les fichier: Vous avertit si une application Bloque les attaques Web et les Bloque les pièces jointes 


une tglel1210): dangereuses des e-mails 


er, 


s S 
ajoutés ou ouverts sur votre PC se comporte de manière télécharc 


suspecte 


Activez l'Agent des fichiers Activez l'Agent Web pour une Activez l'Agent Mail pour une 
pour supprimer les menaces Activez l'Agent Actions navigation en ligne plus sûre. messagerie plus sûre. 
cachées. Suspectes pour détecter les 
applications fragiles. 
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Étape 2 — Installer un Malware : 


1. Ouvrez Microsoft Edge et aller sur le site : 


https ://Www.gamehouse.com/games/mediterranean-journevy-2 


Æ Play All The Games You Love- X | 


ps://www.gamehouse.com 


Genres » My Games Help 





2. Cliquez sur PLAY, au-dessous de Mediterranean Journey 2. 
3. Le fichier mediterranean-journey-2.exe sera téléchargé. 


4. Gardez Microsoft Edge ouvert, et allez dans le dossier Téléchargement pour installer le fichier 
téléchargé. 
Nom 
“ dif Accès rapide 
EN Bureau 


# 
LE réléch k CL mediterranean-journey-2.exe 
éléchargements M 


5, Attendez que le fichier s’installe. Vous pouvez voir l’état de l'installation dans la page ouverte de 
Microsoft Edge. 


* Aujourd'hui (1) 





Genres » My Games Help (Ko}:419 Become a Member à 


Meditégranean J ou re y22% 


" 
L 
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6. Une fois installé, fermez Microsoft Edge. 





8. La seule façon de le voir c’est avec le Gestionnaire des tâches. 


9, Ouvrez le Gestionnaire des tâches et cliquez sur l’onglet Details. 


x Gestionnaire des tâches 
Fichier Options Affichage 
Processus Performance Historique des applications Démarrage Utilisateurs Détails 4 ervices 


om PID | Statut Nom d'utilisateur Proc. Mémoire (p… Virtualisation d'.… 
ta] smartscreen.exe 6716 En cours d'exécution etudiantadmin 00 6172Ko Désactivé 
ta] AvastSvc.exe 6676 En cours d'exécution SYSTEM 00 16548 Ko Non autorisé 
ta] unsecapp.exe 6364 En cours d'exécution SYSTEM 00 480 Ko Non autorisé 
I aswidsagent.exe 6248 En cours d'exécution SYSTEM 00 181/72Ko Non autorisé 
ta] WUDFHost.exe En cours d'exécution LOCAL SERVICE 00 177 200Ko Non autorisé 
LL 


dlihost.exe En cours d'exécution etudiantadmin 00 404 Ko Désactivé 


 AvastUl.exe En cours d'exécution etudiantadmin 00 3516Ko Désactivé 
Chaminstantservice.exe En cours d'exécution SYSTEM 00 2524Ko Non autorisé 
I AvastUl.exe En cours d'exécution etudiantadmin 00 6460 Ko Désactivé 
æ OneDrive.exe En cours d'exécution etudiantadmin 00 2716Ko Désactivé 
ta) ApplicationFrameHost.exe En cours d'exécution etudiantadmin 00 504 Ko Désactivé 
ta-]vm3dservice.exe En cours d'exécution etudiantadmin 00 296Ko Désactivé 





Lu] vmtoolsd.exe En cours d'exécution etudiantadmin 00 680 Ko Désactivé 


10. Vous allez trouver le processus « aminstantservice.exe » caché dans la mémoire comme un 


processus. 





11. Cliquez avec le bouton droit de la souris sur aminstantservice.exe, sélectionnez Fin de tâche pour 


arrêter ce processus. Cliquez sur Arrêter le processus. 


#51 Gestionnaire des tâches Gestionnaire des tâches 


Fichier Options Affichaae : | . 
P I Voulez-vous terminer aminstantservice.exe? 


Processus Performance Historique des applications Démarrage 


Si un programme ouvert est associé à ce processus, il se 
Œ fermera et vous perdrez les données non enregistrées. L'arrêt 
Nom Statut d'un processus système risque de rendre le système instable. 


CF aminstantservice.exi = Voulez-vous vraiment continuer? 


Fa: svchost.exe , | 
Hot ee Envoyer des commentaires Arrêter le processus Annuler 


Terminer l'arborescence du processus 


12. Attendez quelques secondes. Vérifiez encore une fois la liste des processus sous l’onglet Détails, 


vous trouverez que le processus aminstantservice.exe retourne encore une fois sous l'onglet 
Détails!! 





CH aminsta ntservice.exe En cours d'exécution SYSTEM 1844 Ko Non autorisé 
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Étape 3 — Arrêter le Malware : 


1. L'application de ce malware est installée comme un service réseau. La seule façon de terminer ce 
processus est d’aller chercher le service associé à ce malware et l’arrêter, pour être capable de le 


désinstaller par après. 


2. Dansle Gestionnaire des tâches, cliquez sur l’onglet Services. Essayez de trouver le service associé 


à ce malware : AMinstantService. 


3. Cliquez avec le bouton droit de la souris sur ce service et sélectionnez Arrêter. 


#1 Gestionnaire des tâches 
Fichier Options Affichage 


Processus Performance Historique des applications Démarrage Utilisateurs Détails | Services 


Nom | Description 

Les AATSVC Agent Activation Runtime 

Le, Aarsvc_ 62855 Agent Activation Runtime_ 62855 

+ AJRouter Service de routeur Alloyn 

ee ALG Service de la passerelle de la couche Applicat 

+, AMinstantservice Dee SE 

€ ApplDSve = lication 

4 Appinfo bplication 
Redémarrer 


2 AppMgmit ations 
Ouvrir les services spplications 


ant Service 


4, AppReadiness 
€ AppVClient Recherche en ligne Client 
CG AppXSvc EE iement AppX (AppXSVC) 





4. Une fois arrêté, retournez à l'onglet Détails pour s'assurer que le processus 


« aminstantservice.exe » n’est pas là et qu'il est bien terminé. 


5, Fermez le Gestionnaire des tâches. 
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Étape 4 — Supprimer le Malware : 
1. Ouvrez le Panneau de configuration 


Tout Applications Documents Web Plus w 














Meilleur résultat 


GE Panneau de configuration 


Application 
Applications 
“4 Paint > 
Math Input Panel > 


Rechercher sur le Web 

# pan - Afficher les résultats Web ?> 
Cortana 

Q panneau de configuration > 


Paramètres (3+) 


2. Cliquez sur Désinstaller un programme au-dessous de Programmes. 


+ Programmes 


Désinstaller un program 


3. Cliquez avec le bouton droit de la souris sur GameHouse Games et sélectionnez Désinstallez/Modifier. 


Organiser + Désinstaller/Modifier 


Mo Éditeur Installé le Taille Version 


ET Avast Antivirus Gratuit AVAST Software 2020-02-16 19,6.2393 


CN GameHouse Games ui i jouse 2020-02-25 6.00.20 
@ Mozilla Firefox 73.0.1 LEE ie 2020-02-22 73.0. 
Æ Mozilla Maintenance Service Mozilla 2019-08-29 69.0.2 
Ca=] Oracle VM VirtualBox Guest Additions 6.1.2 Oracle Corporation 2020-02-22 6.1.20 





4. Cliquez sur Oui puis Ok pour confirmer. 


5. Une fois désinstallée, fermez le Panneau de configuration. 
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Étape 1 — Installer un Keylogger : 
1. Ouvrez Microsoft Edge et aller sur le site : https://www.logixoft.com/fr-ca/index 


2. Cliquez sur Télécharger Gratuitement. 





logixoft 


Revealer Keylogger Gratuit 2020 


TÉLÉCHARGER GRATUITEMENT Ÿ 
ET 


3. Sélectionnez Télécharger au-dessous de BASIQUE. 





BASIQUE 
Keylogger Gratuit 


"a 
| 64 
» 
TÉLÉCHARGER 


4. Cliquez sur Télécharger. 





rk.free.setup.2.26_password_123.zip 


Transférer avec l'appli MEGA pour ordinateur 


Importer vers @) + Télécharger 


5, Une fois téléchargé, fermez Microsoft Edge et allez dans le dossier Téléchargement. 





6. Double-cliquez sur le fichier rkfree_ setup 2.26 password_123.zip pour l'ouvrir puis double- 
cliquez sur rkfree_ setup 2.26 password_123.exe pour l'installer. 


* Aujourd'hui (1) 
IN Bureau J D 


El rkfree.setup.2.26 password_123:7ip Fa rkfree_setup_2.26_password_123.exe 





Ÿ Téléchargement: 


7. Entrez le mot de passe 123, puis cliquez sur Installer maintenant. 


8. Une fois installé, gardez la fenêtre Revealer Keylogger Free (Administrateur) ouvert et fermez 
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Étape 2 — Démarrer et cacher le Kevlogger : 





1. Pour configurer le Keylogger, cliquez sur Démarrer. 


Revealer Keylogger Free (Administrateur) 


Utilisateur Texte Captures … Date 








2. Pour cacher le Keylogger, fermez la fenêtre de l'application Revealer Keylogger Free 


(Administrateur). 


3. Vous recevez un message qui vous indique que vous devez cliquer sur CRTL + ALT +F9 pour afficher 
le Keylogger. Cliquez sur OK. 


evealer Keylogger X 


Revealer Keylogger continuera de fonctionner en arrière-plan 
n'oubliez pas le raccourci clavier permettant de faire 
réapparaître l'interface du programme : CTRL + ALT + F9 








Étape 3 — Tester Keylogger : 


1. Pour tester Keylogger, ouvrez Microsoft Edge. 
2. Allez sur le site du Moodle : https://cmontmorency.moodle.decclic.qc.ca/login/index.php 
3. Tapez votre nom d'usager et un mot de passe incorrect. 


4. Fermez Microsoft Edge. 
Keylogger a enregistré toutes les frappes de votre clavier, incluant le nom de l'application utilisée. 


5, Pour ouvrir Keylogger et vérifier s’il a bien capturé les frappes de votre clavier, cliquez sur : 





6. Dans la fenêtre Revealer Keylogger Free (Administrateur), cliquez sur Arrêter. 


Œi Revealer Keylogger Free (Administrateur) 


F ga” 7? La, 
(#) Arrêter EL Importer 


Utilisateur Captures d'écran Date Taille 
DESKTOP-7LUVA4FP\etudiantadmin 0 2020-09-26 12:5... 1 Ko 
pK 





7. Cliquez sur DESKTOP-7LUVA4FP\etudiantadmin 
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8. Revealer Keylogger créera un rapport qui contient les frappes de votre clavier (nom d'utilisateur et 


mot de passe de Moodle)... 


Revealer Keylogger Free (Administrateur) 
(e) Démarrer F Importer WA Enregistrer + ZX Supprimer 
Utilisateur Texte Captures d'écran Date Taille = Texte (2) Hé] Captures d'écran (0) 
DESKTOP-7LUV4FP\etudiantadmin 2 0 2020-09-26 12:5... 1Ko 
Revealer Keylogger Report 


DESKTOP-7LUVA4FP\etudiantadmin 
2020-09-26 12:59:49 12:59:54 
Total records: 2 


Microsoft Edge 


Collège Montmorency: Se fonnecter sur Jé site - Profil 1 - Microsoft Edge 
12:59:49 0.12569 


12:59:54 PasswOrd$ 





9, Vous pouvez aussi configurer Keylogger pour vous envoyer ce räpport par courriel. 


10. Cliquez sur Options, dans le côté droit haut de la fenêtre. 


11. Dans la fenêtre Options de Revealer Keylogger vous pouvez configurer ces options. (Vous devez 


avoir la version payante pour faire cela). 





Options de Revealer Keylogger 


Général RL ; 
[_] Activer l'envoi 


Captures d'écran 


| 
Envoi | E-mail 
| 


Sécurité 


HTML Texte 


PE" 


LA 








12. Fermez toutes les fenêtres de l’application Keylogger. 
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Étape 4 — Détecter et supprimer le Malware Kevlogger 





1. Ouvrez l'antivirus Avast pour le réactivez. 
2. Cliquez sur Activer pour activer l’anti-virus. 


x Avast Antivirus Gratuit 


Protection 


Certains agents sont desactives. 


Pour une protection maximale, veuillez activer l'Agent Actions Suspectes, Agent des 
Confidentialité Fichiers, Agent Mail et l'Agent Web. 


ACTIVER .…. | 


3. Une fois activé, attendez une minute, Avast va scanner votre ordinateur et va détecter le keylogger 


Performances 





malware rvikl_setup_2.26 et le mettra dans la quarantaine. 


Y 


Menace éliminée 


Nous avons bloqué rkfree_setup_2.26_password_123... car le site est infecté par 
IDP.Generic.f8b3e652711d.3.2 


D'autres menaces peuvent se cacher ! 


ANALYSER MON PC 


Voir les détails 





4. Cliquez sur Voir les détails. 
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5. Avast affichera l'emplacement de ce malware sur votre disque C: 


Cacher les détails A 





Nom de la menace IDP.Generic.e00a6e514348.3.2 
Accès au fichier C:\Windows\System32\rvikl.exe 
Processus C:\Windows\System32\rvikl.exe 
Détecté par Agent Actions Suspectes 


État Déplacé vers la Zone de quarantaine | 
Ouvrir la Zone de quarantaine 





6. Fermez cette fenêtre et cliquez sur Protection puis Zone de quarantaine. 





@ Avast Antivirus Gratuit 





Confidentialité 


Performances 


7. Cliquez sur la corbeille à côté du Malware pour le supprimer. 


Zone de quarantaine 


Les menaces détectées sont bloquées ici pour qu'elles ne puissent pas nuire à votre 
ordinateur. 


AJOUTER UN FICHIER... 


Nom de la menace Fichier infecté Emplacement d'origine Trouvé le 


EICAR Test-NOT viruslil! Eicar.txt C:\Users\etudiantadmin\D... 24 sept. 2020 20:00 Mpprimer 
IDP.Generic.e00a6e514... rvikl.exe C:\Windows\System32 27 sept. 2020 16:45 Ti] 

Supprimer 
8. Fermez la fenêtre de l’Anti-virus Avast 


9, Cliquez sur CRTL + ALT +F9, vous allez voir que le malware Keylogger ne s'ouvre pas car il était 
éliminé par AVAST... 


10. Déconnectez-vous de Windows et fermez la connexion VPN. 
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